AZEXO

Аттестация АСУ ТП по требованиям 31 приказа ФСТЭК: регуляторные требования и руководство к действию

от автора

Андрей Солодухин
в

Автоматизированные системы управления технологическими процессами (АСУ ТП) являются критическим элементом инфраструктуры промышленных предприятий, энергетического сектора и транспорта. Нарушение их безопасности может привести не только к утечке данных, но и к техногенным авариям. В Российской Федерации основным документом, регулирующим защиту таких систем, является Приказ ФСТЭК России от 14 марта 2014 г. № 31 [официальный текст].

В данной статье мы разберем, кому необходимо выполнять требования приказа, как классифицировать систему, какие меры защиты применять и в чем заключается процедура подтверждения соответствия (аттестации).

1. Нормативная база: какие документы регулируют процесс

Процесс обеспечения безопасности АСУ ТП и подтверждения их соответствия требованиям регулируется несколькими ключевыми документами:

  1. Приказ ФСТЭК России № 31 — устанавливает технические и организационные требования к защите информации в АСУ ТП на критически важных и потенциально опасных объектах [текст приказа].
  2. Постановление Правительства РФ от 03.02.2012 № 79 — определяет порядок лицензирования деятельности по технической защите конфиденциальной информации, включая работы по аттестации [текст постановления].
  3. Положение по аттестации объектов информатизации (Решение Гостехкомиссии России от 25.11.1994) — определяет общие принципы аттестации, форму «Аттестата соответствия» и сроки его действия [текст положения].
  4. Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» — устанавливает правовые основы обеспечения безопасности КИИ [текст закона].
  5. Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — базовый закон в сфере информационной безопасности [текст закона].
  6. Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» — регулирует лицензирование деятельности по технической защите конфиденциальной информации [текст закона].

Важно: Требования Приказа № 31 являются обязательными для владельцев АСУ ТП на объектах, представляющих повышенную опасность. Подтверждение выполнения этих требований может осуществляться в форме приемочных испытаний или аттестации.

2. Кому необходимо выполнять требования Приказа № 31

Действие приказа распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим оборудованием на:

  • Критически важных объектах;
  • Потенциально опасных объектах;
  • Объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей среды.

К таким системам относятся SCADA-серверы, системы диспетчерского управления, программируемые логические контроллеры (ПЛК), системы сбора данных и т.д.

Если в АСУ ТП обрабатывается информация, составляющая государственную тайну, защита осуществляется по отдельным требованиям законодательства о гостайне. Приказ № 31 ориентирован на защиту информации, нарушение безопасности которой может привести к нарушению функционирования системы управления.

Примечание: Если АСУ ТП является значимым объектом критической информационной инфраструктуры (ЗО КИИ), дополнительно применяются требования Приказов ФСТЭК России № 235 [ссылка] и № 239 [ссылка].

3. Пошаговое руководство по выполнению требований

Процесс создания системы защиты информации (СЗИ) в АСУ ТП регламентирован разделом II Приказа № 31 и включает следующие этапы.

Шаг 1. Классификация системы защиты

Владелец (заказчик) или оператор должен определить класс защищенности АСУ ТП. Существует три класса (от 1 до 3), где 1-й класс — самый высокий уровень защиты.

Класс определяется на основе уровня значимости (критичности) информации (УЗ), который зависит от возможного ущерба при нарушении целостности, доступности или конфиденциальности информации (Приложение № 1 к Приказу № 31):

  • УЗ 1 (Высокий ущерб): Возможна чрезвычайная ситуация федерального/межрегионального характера. → Класс 1
  • УЗ 2 (Средний ущерб): Возможна чрезвычайная ситуация регионального/межмуниципального характера. → Класс 2
  • УЗ 3 (Низкий ущерб): Возможна чрезвычайная ситуация муниципального/локального характера. → Класс 3

Результаты оформляются Актом классификации.

Рекомендация: При классификации учитывайте положения ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» [текст ГОСТ].

Шаг 2. Определение угроз и модели угроз

Необходимо выявить источники угроз, уязвимости и возможные сценарии атак. Для этого используется Банк данных угроз безопасности информации ФСТЭК России [перейти к БДУ]. На основе анализа разрабатывается Модель угроз безопасности информации.

Полезные ресурсы:

  • «Методика оценки угроз безопасности информации», утв. ФСТЭК России 05.02.2021 [текст методики]
  • «Базовая модель угроз безопасности персональных данных», утв. ФСТЭК России 15.02.2008 [текст модели]

Шаг 3. Выбор мер защиты

На основе класса защищенности выбираются меры защиты из базового набора (Приложение № 2 к Приказу № 31). Всего выделено 17 групп мер, включая:

  • Идентификацию и аутентификацию (ИАФ);
  • Управление доступом (УПД);
  • Антивирусную защиту (АВЗ);
  • Регистрацию событий безопасности (АУД);
  • Обеспечение целостности и доступности (ОЦЛ, ОДТ) и др.

Нюанс: Допускается адаптация базового набора. Если некоторые меры невозможны к реализации (например, из-за специфики ПО контроллеров), должны быть применены компенсирующие меры (например, усиление физической защиты), достаточность которых должна быть обоснована.

Справочные материалы:

  • Методический документ «Меры защиты информации в государственных информационных системах» [ссылка]
  • Профили защиты средств защиты информации (межсетевые экраны, антивирусы, СОВ и др.) [раздел ФСТЭК]

Шаг 4. Внедрение и испытания

Система защиты внедряется в соответствии с проектной документацией. Обязательным этапом является проведение приемочных испытаний (п. 15.8 Приказа № 31). В ходе испытаний подтверждается соответствие СЗИ техническому заданию и требованиям Приказа № 31.

4. Подтверждение соответствия: Приемочные испытания или Аттестация?

Приказ № 31 (п. 15.8) предусматривает два способа подтверждения того, что система защищена должным образом:

  1. Приемочные испытания. Проводятся в рамках ввода системы в эксплуатацию. Результаты включаются в Акт приемки АСУ ТП. Это базовый вариант.
  2. Аттестация. По решению заказчика подтверждение может быть проведено в форме аттестации на соответствие требованиям по защите информации.

Если выбран путь аттестации:

  • Документ: По итогам выдается «Аттестат соответствия» (форма согласно Положению по аттестации 1994 г., Приложение 2) [форма аттестата].
  • Срок действия: Аттестат выдается на период неизменности условий функционирования, но не более чем на 3 года.
  • Обязанности владельца: При изменении состава средств, технологии обработки информации или условий эксплуатации владелец обязан известить орган по аттестации. Возможно проведение дополнительной проверки.
  • Контроль: Орган по аттестации осуществляет инспекционный контроль за эксплуатацией аттестованного объекта.

Важно: С 1 июня 2021 года Положение по аттестации 1994 года не применяется для объектов, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну. Вместо него действует Порядок аттестации, утвержденный приказом ФСТЭК России от 28.09.2020 № 110 [информационное сообщение].

5. Лицензирование деятельности по аттестации

Важно различать требования к владельцу системы и требования к организации, которая проводит работы.

Если для подтверждения соответствия выбрана форма аттестации, организация-исполнитель должна иметь лицензию. Согласно Постановлению Правительства РФ № 79 [текст]:

  • Лицензированию подлежат работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации средств и систем информатизации, помещений и защищаемых помещений.
  • Лицензию выдает ФСТЭК России.
  • Соискатель лицензии должен иметь в штате квалифицированных специалистов (высшее образование в области информационной безопасности + стаж), необходимые помещения, оборудование и средства защиты информации.

Внимание: Осуществление деятельности по технической защите конфиденциальной информации иностранными юридическими лицами не допускается (Постановление № 79, п. 1).

Дополнительно: Порядок проведения сертификации средств защиты информации утвержден приказом ФСТЭК России от 01.12.2023 № 240 [текст].

6. Эксплуатация и поддержание уровня защиты

Получение акта приемки или аттестата не завершает работу по безопасности. Согласно разделу II (п. 16) Приказа № 31, оператор должен обеспечить защиту в ходе эксплуатации:

  • Планировать мероприятия по защите информации.
  • Обучать персонал.
  • Проводить периодический анализ угроз и уязвимостей.
  • Управлять инцидентами (выявление, реагирование, восстановление).
  • Контролировать конфигурацию системы (запрет несанкционированных изменений).

При выявлении нарушений правил эксплуатации действие Аттестата соответствия может быть приостановлено или аннулировано органом надзора.

Полезный ресурс: Информационные и аналитические материалы ФСТЭК России, включая разъяснения по применению нормативных документов [раздел сайта].

7. Частые ошибки и рекомендации

  1. Игнорирование классификации. Без Акта классификации невозможно корректно выбрать меры защиты. Часто предприятия ошибочно занижают класс защищенности.
  2. Формальный подход к модели угроз. Модель угроз должна быть актуальной и учитывать реальную архитектуру АСУ ТП, а не быть шаблонной. Используйте Банк данных угроз ФСТЭК [БДУ].
  3. Отсутствие компенсирующих мер. В АСУ ТП часто невозможно установить стандартные антивирусы или средства контроля доступа на промышленные контроллеры. Необходимо грамотно обосновывать компенсирующие меры (физическая изоляция, сегментация сети).
  4. Нарушение сроков действия. Если выбрана аттестация, необходимо следить за сроком действия Аттестата (макс. 3 года) и вовремя проходить повторную процедуру.
  5. Выбор нелицензированного исполнителя. При проведении аттестации обязательно проверяйте наличие действующей лицензии ФСТЭК у исполнителя работ [реестр лицензиатов].

8. Дополнительные ресурсы и методические материалы

Для более глубокой проработки вопросов защиты АСУ ТП рекомендуем ознакомиться со следующими документами:

ДокументСсылка
Требования по безопасности информации (Приказ ФСТЭК № 76)[текст]
ГОСТ Р 56939-2016 «Защита информации. Требования по безопасности информации»[текст]
Руководящий документ «Показатели защищенности от НСД» (Гостехкомиссия, 1992)[текст]
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)[текст]

Заключение

Обеспечение безопасности АСУ ТП по требованиям Приказа ФСТЭК № 31 — это комплексный процесс, включающий классификацию, проектирование, внедрение мер защиты и подтверждение соответствия. Выбор формы подтверждения (приемочные испытания или аттестация) остается за заказчиком, однако аттестация требует привлечения лицензированных организаций и подразумевает периодический контроль со стороны регулятора.

Соблюдение этих требований не только защищает предприятие от штрафов со стороны контролирующих органов, но и снижает риски технологических аварий, вызванных кибератаками или сбоями в системах управления.

Материал подготовлен на основе актуальных нормативно-правовых актов по состоянию на май 2026 года. Все ссылки ведут на официальные источники или проверенные правовые порталы.